image

Telegraaf-bezoekers besmet met gevaarlijk virus

vrijdag 7 september 2012, 10:30 door Redactie, 9 reacties

Tientallen bezoekers van Telegraaf.nl zijn gisteren met een gevaarlijk virus geïnfecteerd dat zeer lastig is te verwijderen. Aanvallers wisten toegang te krijgen tot de server van een bedrijf dat de nieuwsbriefregistraties voor de Telegraaf verwerkt. In het aanmeldscherm werd aanvalscode voor een Java-lek verstopt dat Oracle vorige week vrijdag patchte. In eerste instantie werd aangenomen dat de aanvallers alleen een nep-virusscanner genaamd Live Security Platinum op kwetsbare systemen installeerden.

Nu blijkt dat er naast de scareware ook het ZeroAccess-virus is achtergelaten. Het Nederlandse anti-virusbedrijf SurfRight ontdekte dat de downloader die via de exploit werd verspreid ook op tenminste 80 computers ZeroAcces achterliet.

ZeroAcces was eerst een rootkit maar wordt nu als 'user-mode virus' geclassificeerd. De malware is zeer lastig te verwijderen en kan zowel 32- als 64-bit Windows-systemen infecteren.

Reacties (9)
07-09-2012, 10:54 door Anoniem
Is er ook iemand die weet welk "bedrijf dat de nieuwsbriefregistraties verwerkt" het hier over gaat?
Normaal gooi ik een advertentiehoster e.d. bij een dergelijk incident altijd meteen in een permanente blocklist, maar dit keer lukt het me niet om te achterhalen waar nou precies de schuldige zit...
(ik heb wel squid logfiles van enkele bezoekers van de telegraaf site die de bewuste .jar file hebben opgehaald maar het is door de gigantische diarree van banners op de telegraaf site niet zo simpel om te achterhalen welke nou precies geleid heeft naar het ophalen van http://ladysarah-ecrivain.com/88770.jar en zo)
07-09-2012, 11:35 door Anoniem
Tientallen?? :o)
In ons bedrijf van 700 computers zijn er al 5 tegen de exploit aangelopen. Gelukkig is deze tegen gehouden door regels op de firewall. Maar als bij ons al 0,7% van de pc's gevaar liepen hoe is het dan met de rest van NL.

Verder, ik weet het nog niet helemaal zeker, geloof ik niet dat er net gisteren 5 personen zich wilde aanmelden voor de nieuwsbrief. Het zal dus wel op meer pagina's van de telegraaf hebben gestaan. Nader onderzoek moet (zal :o) ) dit uitwijzen.
07-09-2012, 12:08 door yobi
De site ambareiki.com is nog steeds actief. Geen whois record; een server van one.com (nummer 176).

Site is not listed in any SPAM blacklists.
07-09-2012, 12:10 door yobi
Nu wel een record. Een dame in Nederland; hmmmm klopt dat wel.
07-09-2012, 12:20 door yobi
Waarschijnlijk is de site gehackt van deze reiki dame. Waar konden we dat ook weer melden
07-09-2012, 12:43 door Anoniem
@ Anoniem 10:54:

Ik denk ematters.nl. Exploit website komt altijd na:

images.ematters . nl/telesport/telesport.html
images.ematters . nl/filmenuitgaan/filmuitgaan.html
images.ematters . nl/reiskrant/reiskrant.html?positie:goodiebar
images.ematters . nl/overgeld/overgeld.html?positie:goodiebar
07-09-2012, 13:03 door [Account Verwijderd]
[Verwijderd]
07-09-2012, 13:05 door [Account Verwijderd]
[Verwijderd]
07-09-2012, 14:28 door Anoniem
ematters.nl is het niet denk ik. ik zie groepjes logregels die eindigen met de .jar maar waar ematters.nl niet
in voorkomt. wel:
http://admin.brightcove.com/
http://media.adrcdn.com/
http://cntr.adrcntr.com/
http://tag.admeld.com/
http://kpn.solution.weborama.fr/
http://scripts.adrcdn.com/
http://csmcampagne.consumind.nl/
http://a.visualrevenue.com/
http://pix04.revsci.net/
http://b.scorecardresearch.com/

afijn en nog wel 20 anderen.
het wordt denk ik tijd voor een grootschalige adblokkade.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.